Пугающие цифры утечек данных за последние несколько лет говорят о том, что организациям становится все труднее справляться с растущим числом угроз.

Но с недавнего времени появилось новое поколение решений безопасности корпоративного уровня, основанных на машинном обучении. Эти инструменты способны анализировать сети, выяснять их особенности, распознавать аномалии и защищать предприятия от атак.

Но поможет ли машинное обучение решить все проблемы информационной безопасности в современном мире? В компаниях, предлагающих новые продукты, заявляют о росте спроса и утверждают, что первая реакция пользователей – положительная.

«Машинное обучение – крупнейшая тенденция в области безопасности в текущем году, – говорит Эрик Огрен, аналитик 451 Research. – Сегодня любой директор по информационной безопасности знает, что средства поведенческого анализа дают наилучшие шансы остановить атаку, способную обойти статичные защитные системы».

В основе поведенческих инструментов лежат методы машинного обучения. При машинном обучении формируется статистический профиль нормальной активности пользователя, устройства или сайта. Тем самым закладывается основа поведенческой аналитики, которая позволяет предотвратить ущерб от атак, не замеченных стандартными средствами борьбы с угрозами, в том числе основанных на злоупотреблении легитимными верительными данными.

Долгосрочное преимущество машинного обучения – в том, что, осваивая его, организация берет на вооружение вероятностный, прогнозный подход к обеспечению безопасности, который хорошо сочетается с традиционными механизмами. Новые подходы уже окупаются в крупных облачных средах и медиакомпаниях, где защищенность измеряется уровнем снижения риска серьезного подрыва бизнеса и потери дохода.

Потенциальные сложности

Внедрение любых новшеств не обходится без трудностей. Так, может быть непросто оценить качество алгоритмов машинного обучения различных разработчиков. Это возможно лишь по результатам. А чтобы оценить эффективность продукта, рекомендуется в рамках концептуальных проектов обратить особое внимание на несколько изолированных случаев применения, на устройства или веб-сайты.

Машинное обучение позволяет добиться ощутимого усиления информационной безопасности, но это не панацея, отмечает Дэвид Монахан, директор по исследованиям в области безопасности и управления рисками Enterprise Management Associates: «У этой технологии есть свои ограничения и наилучшие области применения. Это, например, отличный инструмент для идентификации событий, выходящих за обычные рамки, и эти события надо проанализировать или расследовать».

В мире информационной безопасности используются два основных типа машинного обучения – с учителем и без. У каждого из методов – свои случаи применения, но в конечном счете оба нужны для поиска аномалий в имеющихся срезах данных. Таким образом, действенность ограничена качеством доступных данных, то есть машинное обучение – это вспомогательная, а не базовая технология.

Перечислим некоторые доступные на сегодня системы кибербезопасности, пользующиеся машинным обучением

• Компания Acuity Solutions предлагает BluVector – систему распознавания угроз, которая с помощью машинного обучения идентифицирует их и помогает сортировать опасности по степени. По мере обнаружения угроз BluVector формирует наборы данных, на основании которых специалисты проводят экспертизу.

• Система DgSecure Monitor компании Dataguise предназначена для распознавания утечек данных. Пользуясь методами машинного обучения и анализа поведения, она генерирует предупреждения, когда действия пользователей отклоняются от типичного. DgSecure Monitor облегчает разработку политик руководства данными, требующими различных уровней защиты.

• Компания Deep Instinct предлагает продукт под названием Deep Learning, который имитирует способность головного мозга обучаться распознаванию объектов. Применяя технику глубинного обучения, Deep Instinct совершенствуется в прогнозировании. Результат – возможность «инстинктивной» защиты даже от самых изощренных кибератак, исходящих из любого источника.

• Distil Networks предлагает технологию, защищающую веб-приложения от вредоносных ботов и атак, основанных на злоупотреблении интерфейсами программирования. Клиентам Distil предоставляется доступ к глобальной инфраструктуре машинного обучения, которая анализирует закономерности атак в режиме реального времени. Distil может распознавать боты путем корреляции большого числа меняющихся параметров и обнаруживать поведенческие аномалии, руководствуясь закономерностями трафика конкретного сайта.

• Компания Prelert предлагает средства распознавания сложных угроз, основанные на механизме поведенческого анализа, который, используя метод обучения без учителя, создает профили нормального поведения по журналам операций ИТ-среды и обнаруживает аномалии, могущие указывать на кибератаку.

 

Главные преимущества

Основные преимущества машинного обучения – возможность быстро распознавать тенденции, закономерности и аномалии в больших разнородных срезах данных: распознавание происходит в режиме реального времени или близком, при этом не нужно подгружать срезы данных пакетно.

Потребность во внедрении машинного обучения обусловлена двумя факторами, отмечает Крис Лавджой, глава подразделения BluVector компании Acuity Solutions. Во-первых, на распознавание компрометации сейчас уходит много времени, во-вторых, во многих случаях, если не в большинстве, в компаниях узнают о взломе от третьей стороны.

«Нереально предвидеть все возможные векторы атак, не хватит никаких ресурсов на то, чтобы вручную задавать правила распознавания всех мыслимых векторов, – поясняет Майк Пакетт, вице-президент по продуктам Prelert, компании, поставляющей средства безопасности на основе машинного обучения. – Организациям нужны способы автоматизировать анализ протоколов безопасности, позволяющий распознавать атаки в непрерывном режиме».

Qrator Lab фильтрует интернет-трафик

Qrator Labs с 2006 года совершенствует алгоритмы противодействия DDoS-атакам, реализованные на собственной распределенной сети фильтрации интернет-трафика.

В комплексе решений Qrator Anti-DDoS при анализе поведения посетителей защищаемого сайта используются методы, основанные на технологиях машинного обучения.

На основе анализа строится модель, предсказывающая возможные действия легитимного пользователя. Эта модель позволяет с высокой точностью фильтровать трафик DDoS-атаки при достаточно низком уровне ложных срабатываний. Метод особенно эффективен для атак типа Full Browser Stack, который является наиболее сложным для фильтрации из атак уровня приложений.

 

Обнадеживающие результаты

В компаниях, которые первыми начали применять технологию машинного обучения, сообщают о ее действенности. Так, в Orrstown Bank к новым методам обратились, чтобы бороться с безудержным ростом количества мошенничеств с кредитными и дебетовыми картами.

«Мошенничества с картами участились прежде всего из-за роста объема утечек, допускаемых продавцами, – отмечает Эндрю Линн, старший вице-президент, директор по безопасности банка. – Традиционные системы распознавания мошенничеств либо обеспечивают лишь примитивные методы идентификации, либо их цена слишком высока для банков небольших размеров».

В банке в целях борьбы с мошенничествами обратились к услугам Prelert. Изначально продукт компании был рассчитан на распознавание аномалий работы ИТ-ресурсов, но выяснилось, что его можно применять и для обнаружения отклонений в использовании банковских карт.

Обычно мошенники вначале делают недорогую покупку, чтобы удостовериться, что карта еще активна. Если тестовая транзакция проходит, злоумышленник быстро проводит серию новых, тратя больше денег.

Система распознавания мошенничеств Prelert позволяет банку обнаружить уже самую первую незаконную транзакцию и заблокировать последующие.

Технология обнаруживает жульничество путем распознавания аномалий использования карт с точки зрения целого ряда параметров (время суток, сумма платежа, местонахождение, продавец и т. п.), а также полагаясь на знания экспертов Orrstown о мошеннических операциях.

Уже первые результаты нового решения показали, что есть возможность сократить потери от мошенничеств на 50%.

«Лаборатория Касперского» разработала защиту от целевых атак

Специализированная платформа для обнаружения целевых атак, в том числе кампаний кибершпионажа, Kaspersky Anti Targeted Attack Platform выявляет таргетированные атаки и любые подозрения на вредоносную активность в корпоративной сети организации еще до того, как злоумышленники предпримут какие-либо серьезные шаги.

Решение выявляет целенаправленные атаки и любые подозрения на вредоносную активность благодаря комплексу сенсоров, постоянно отслеживающих ситуацию внутри защищаемой ИТ-инфраструктуры. Решение анализирует данные, получаемые с различных узлов корпоративной сети.

Для того чтобы понять, насколько опасна подозрительная активность, собранные данные перенаправляют в изолированную виртуальную среду, внутри которой изучается поведение потенциально вредоносных объектов. Окончательное же решение о попытке таргетированного проникновения в сеть компании выносится при помощи специального анализатора целевой атаки, который использует технологии машинного обучения и способен сопоставлять различные аналитические данные.

Билеты под защитой

StubHub, оператор сервиса перепродажи билетов, пользуется технологией Distil уже почти полтора года. «С появлением новых угроз безопасности Distil стала неотъемлемой частью нашей общей стратегии безопасности, особенно в борьбе с захватом аккаунтов», – говорит Марти Боос, директор по эксплуатации ИТ-систем StubHub.

Distil запоминает закономерности трафика к сайту StubHub и по отклонениям распознает боты и другие угрозы безопасности, предсказывая их видоизменения.

StubHub и Distil взаимодействуют ежедневно, что позволяет следить за текущей активностью и прогнозировать будущее. «Поскольку боты и другие источники вредоносного трафика быстро эволюционируют, нужны надежные средства предугадывания тактики атакующих, – говорит Боос. – Так как покупка на StubHub обычно сопровождается мгновенной передачей цифрового товара, необходимо тщательно защищать сеть от ботов и других вредоносов».

Human Longevity, разработчик технологии, лежащей в основе крупнейшей в мире базы геномной информации, в 2015 году начала пользоваться системой Enterprise Immune System компании Darktrace, чтобы составить профиль нормальной сетевой активности корпоративных приложений.

«Задача состояла в том, чтобы научиться распознавать аномальную активность и передавать сведения о ней нашим специалистам, которые определяют уровень угрозы, – говорит Том Брандл, директор по информационной безопасности в Human Longevity. – Система Darktrace запоминает закономерности работы нашей среды, чтобы обнаруживать отклонения. При их появлении наши эксперты анализируют уровень опасности и принимают меры». Главным преимуществом новой технологии стало то, что она позволяет составить гораздо более полное понимание происходящего в ИТ-среде.

Участники рынка уверены, что в дальнейшем машинное обучение даст принципиально новые возможности по укреплению безопасности.

«Теоретически ничто не мешает создать искусственный мозг человека, – полагает Ги Каспи, глава Deep Instinct. – Методы глубинного обучения подводят нас к этой цели растущими темпами. Уже в ближайшие годы можно ожидать прорывов, особенно в области обучения без учителя».

Глубинное обучение с успехом применяется в области компьютерного зрения, понимания речи и текста, «но есть еще масса областей, где новые технологии способны произвести настоящую революцию», добавляет Каспи.

«Машинное обучение – методика, составляющая основу искусственного интеллекта и аналитики данных, она и дальше будет способствовать инновации в этих областях, – убежден Венкат Субраманян, директор по технологиям Dataguise. – Машинное обучение внедряется во всех отраслях, где нужен анализ больших объемов данных. – Именно благодаря растущим масштабам использования Больших Данных развивается применение машинного обучения для аналитических задач. Но особенно полезным машинное обучение будет для распознавания и предотвращения нарушений безопасности и несанкционированного доступа к закрытым сведениям».

– Bob Violino. Machine learning offers new hope against cyber attacks. Network World. Aug 15, 2016